Gobernanza y ciberseguridad en la universidad pública






            Traducir estas normas básicas de funcionamiento no es   tencia de una adecuada gobernanza y no habiendo reali-
            un ejercicio teórico. Veamos algunos casos donde pos-  zado pruebas sobre la situación y eficacia de los contro-
            tulamos un reparto de controles de responsabilidades   les de ciberseguridad desplegados por las universidades,
            en materia de ciberseguridad entre auditores internos y   concluye con una serie de fortalezas y debilidades de
            externos.                                           cada una ellas que sirven como punto de partida para
                                                                futuros trabajos de la propia Sindicatura.
            Por ejemplo, cuando un estudiante solicita una beca on-
            line, el sistema debe estar cifrado y ser interoperable. El   Además, este guante lanzado desde la Comunidad Va-
            auditor interno debe comprobar si las plataformas cum-  lenciana, sin duda, es muy necesario que recojan a la
            plen con el ENS; el OCEX puede revisar si la universidad   mayor brevedad posible el resto de OCEX para auditar el
            ha diseñado el proceso con garantías de seguridad y le-  nivel de ciberseguridad de las universidades públicas de
            galidad.                                            sus autonomías. E, igualmente, los servicios de control
                                                                interno universitarios deben emprender auditorías simi-
            En un concurso de plazas de profesorado, las notifica-  lares, bien con medios internos, bien con la contratación
            ciones electrónicas deben ser seguras y verificables. El   de expertos externos.
            auditor interno examina la trazabilidad de los registros;
            el OCEX fiscaliza si se aplicaron de forma uniforme los
            principios de igualdad y transparencia.
                                                                3.  De la estrategia a la gestión tecnológica.
            En un repositorio de investigación, el RGPD exige que      Controles bajo un a doble mirada.
            los datos se almacenen con garantías. El auditor interno
            vigila las medidas técnicas; el OCEX evalúa si la univer-  Tal y como nuestro sistema parasimpático trabaja de ma-
            sidad, como institución pública, aplica la normativa igual   drugada para regular el ritmo cardiaco, gestionar la tec-
            que lo haría cualquier otra administración.         nología en una universidad es como dirigir una ciudad
                                                                que no duerme. Hay infraestructuras críticas (servidores,
            El viaje de la norma al campus, en definitiva, es el territo-  redes, sistemas de almacenamiento) que deben estar
            rio compartido donde se encuentran auditores internos y   latiendo continuamente y al ritmo adecuado, siempre
            externos: unos observan desde la inmediatez de la ges-  disponibles. Ademas, la transversalidad de la tecnología
            tión diaria, otros desde la perspectiva de la rendición de   en la gestión económico–administrativa de la universidad
            cuentas pública.                                    obliga a un panorama en el que los servicios evolucionan
                                                                constantemente para responder a una comunidad diver-
            Este viaje ya ha sido iniciado, por ejemplo, por la Sindica-  sa y exigente.
            tura de Comptes de la Comunitat Valenciana , en sus au-
                                                  3
            ditorías de la gobernanza de las TI y de la ciberseguridad   Este dibujo  trae mucho trabajo  asociado.  PDCA pue-
            de 5 universidades públicas de la región.           de ser un buen marco de juego. Plan–Do–Check–Act.
                                                                Todo debe comenzar con la consideración estratégica,
            Esta auditoría planteaba a las universidades auditadas,   Programa Electoral del que se derive la Estrategia de
            de manera general, las siguientes preguntas:        (Gobierno y Gestión de la) Servicios TI de la Univer-
                                                                sidad y se detalle el Plan Director de Sistemas de In-
            ¡  ¿Dispone de un marco de gobernanza de las TI ade-  formación.
               cuado a sus características y a las buenas prácticas
               en la materia?                                   Para el auditor interno, empezar la casa por los cimientos
                                                                es clave. El Plan Director es un instrumento fundamen-
            ¡  ¿Tiene implantados sistemas de gestión de la segu-  tal, y constituye el mapa de riesgos que señala dónde
               ridad de la información acordes con lo establecido en   mirar. Para el OCEX, supone la brújula que indica si la
               el Esquema Nacional de Seguridad?                universidad avanza en la dirección que prometió en su
                                                                estrategia digital.
            ¡  ¿Ha cumplido con las principales normas en materia
               de seguridad de la información?                  Ejemplifiquemos con sencillos casos prácticos del día a
                                                                día universitario cómo sería la debida coordinación entre
            Centrada en los elementos fundamentales para la exis-  controles internos y externos se coordinen.





            3  Sindicatura de Comptes de la Comunitat Valenciana. Nota Informativa: La gobernanza de las TI y de la ciberseguridad en las universidades públicas valencianas. Situación
            a 30 de junio de 2024  - Sindicatura de Comptes


                                                                                                              181